תוכנת כופר היא וקטור איומים משמעותי, שעולה לעסקים, תאגידים ומפעילי תשתית מיליארדי דולרים מדי שנה. מאחורי האיומים הללו מסתתרות כנופיות מקצועיות של תוכנות כופר היוצרות ומפיצות תוכנות זדוניות שמאפשרות את ההתקפות.
חלק מהקבוצות הללו תוקפות קורבנות ישירות, בעוד שאחרות מנהלות את המודל הפופולרי של Ransomware-as-a-Service (RaaS) המאפשר לשותפים לסחוט ארגונים ספציפיים.
כאשר איום תוכנת הכופר עולה כל הזמן, הכרת האויב וכיצד הם פועלים היא הדרך היחידה להתקדם. אז הנה רשימה של חמש קבוצות תוכנות הכופר הקטלניות ביותר המשבשות את נוף אבטחת הסייבר.
1. REvil
קבוצת תוכנת הכופר של REvil, הידועה בשם Sodinokibi, היא חברה שבסיסה ברוסיה תוכנת כופר כשירות (RaaS) מבצע שהופיע לראשונה באפריל 2019. היא נחשבת לאחת מקבוצות תוכנות הכופר האכזריות ביותר עם קישורים לסוכנות השירות הפדרלי של רוסיה (FSB).
הקבוצה משכה במהירות את תשומת לבם של אנשי אבטחת סייבר בשל יכולתה הטכנית והחוצפה ללכת אחרי יעדים בעלות פרופיל גבוה. 2021 הייתה השנה הרווחית ביותר עבור הקבוצה שכן היא פנתה למספר ארגונים רב לאומיים ושיבשה מספר תעשיות.
קורבנות גדולים
במרץ 2021,
REvil תקף את תאגיד האלקטרוניקה והחומרה Acer ופגע בשרתים שלו. התוקפים דרשו 50 מיליון דולר עבור מפתח פענוח ואיימו להגדיל את הכופר ל-100 מיליון דולר אם החברה לא תעמוד בדרישות הקבוצה.חודש לאחר מכן, הקבוצה ביצעה מתקפה מתוקשרת נוספת נגד ספקית אפל, Quanta Computers. היא ניסתה לסחוט גם את קוונטה וגם את אפל, אבל אף אחת מהחברות לא שילמה את הכופר של 50 מיליון דולר.
קבוצת תוכנת הכופר של REvil המשיכה במסע הפריצה שלה ופנתה ל-JBS Foods, Invenergy, Kaseya ועוד כמה עסקים אחרים. JBS Foods נאלצה לסגור זמנית את פעילותה ושילמה כופר מוערך של 11 מיליון דולר בביטקוין כדי לחדש את הפעילות.
ה התקפת קאסיה הביא תשומת לב לא רצויה לקבוצה מכיוון שהיא השפיעה ישירות על יותר מ-1,500 עסקים ברחבי העולם. בעקבות לחץ דיפלומטי מסוים, השלטונות הרוסיים עצרו כמה מחברי הקבוצה בינואר 2022 ותפסו נכסים בשווי מיליוני דולרים. אבל השיבוש הזה היה קצר מועד כמו ה כנופיית תוכנת הכופר של REvil חזרה לפעול מאז אפריל 2022.
2. קונטי
Conti היא עוד כנופיית תוכנות כופר ידועה לשמצה שעושה כותרות מאז סוף 2018. הוא משתמש ב- שיטת סחיטה כפולה, כלומר הקבוצה מונעת את מפתח הפענוח ומאיימת להדליף נתונים רגישים אם הכופר לא ישולם. היא אפילו מפעילה אתר דליפה, Conti News, כדי לפרסם את הנתונים הגנובים.
מה שמייחד את Conti מקבוצות אחרות של תוכנות כופר הוא היעדר מגבלות אתיות על המטרות שלה. היא ביצעה מספר פיגועים במגזרי החינוך והבריאות ודרשה כופר של מיליוני דולרים.
קורבנות גדולים
לקבוצת תוכנת הכופר Conti יש היסטוריה ארוכה של מיקוד לתשתיות ציבוריות קריטיות כמו בריאות, אנרגיה, IT וחקלאות. בדצמבר 2021, הקבוצה דיווחה כי היא התפשרה על הבנק המרכזי של אינדונזיה וגנבה נתונים רגישים בהיקף של 13.88 GB.
בפברואר 2022 תקף קונטי מפעיל מסוף בינלאומי, SEA-invest. החברה מפעילה 24 נמלי ים ברחבי אירופה ואפריקה ומתמחה בטיפול בתפזורת יבשה, פירות ומזון, בתפזורת נוזלית (נפט וגז), ומכולות. המתקפה פגעה בכל 24 הנמלים וגרמה לשיבושים משמעותיים.
קונטי גם התפשר על בתי הספר הציבוריים של מחוז ברוורד באפריל ודרש 40 מיליון דולר כופר. הקבוצה הדליפה מסמכים גנובים בבלוג שלה לאחר שהמחוז סירב לשלם את הכופר.
לאחרונה, נשיא קוסטה ריקה נאלץ להכריז על מצב חירום לאומי בעקבות התקפות של קונטי על מספר סוכנויות ממשלתיות.
3. צד אפל
קבוצת תוכנות הכופר DarkSide עוקבת אחר מודל RaaS ומכוונת לעסקים גדולים לסחוט כמויות גדולות של כסף. היא עושה זאת על ידי השגת גישה לרשת של חברה, בדרך כלל באמצעות פישינג או כוח גס, ומצפינה את כל הקבצים ברשת.
ישנן מספר תיאוריות בנוגע למקורותיה של קבוצת תוכנות הכופר DarkSide. חלק מהאנליסטים חושבים שהוא מבוסס במזרח אירופה, אי שם באוקראינה או ברוסיה. אחרים מאמינים שלקבוצה יש זיכיונות במספר מדינות, כולל איראן ופולין.
קורבנות גדולים
קבוצת DarkSide דורשת כופר ענק אך טוענת שיש לה קוד התנהגות. הקבוצה טוענת שהיא לעולם לא מכוונת לבתי ספר, בתי חולים, מוסדות ממשלתיים וכל תשתית שמשפיעה על הציבור.
עם זאת, במאי 2021, DarkSide ביצעה את התקפת צינור קולוניאלי ודרש כופר של 5 מיליון דולר. זו הייתה מתקפת הסייבר הגדולה ביותר על תשתיות נפט בהיסטוריה של ארה"ב והפרעה את אספקת הבנזין והדלק הסילוני ב-17 מדינות.
האירוע עורר שיחות על אבטחת תשתיות קריטיות וכיצד ממשלות וחברות חייבות להקפיד יותר על ההגנה עליהן.
בעקבות המתקפה, קבוצת DarkSide ניסתה לנקות את שמה על ידי האשמת שותפי צד שלישי במתקפה. עם זאת, לפי הוושינגטון פוסט, החליטה הקבוצה להפסיק את פעילותה לאחר לחץ גובר מצד ארצות הברית.
4. DoppelPaymer
תוכנת הכופר של DoppelPaymer היא יורשת של תוכנת הכופר של BitPaymer שהופיעה לראשונה באפריל 2019. היא משתמשת בשיטה יוצאת הדופן של התקשרות לקורבנות ודרישת כופר בביטקוין.
DoppelPaymer טוענת כי היא מבוססת בצפון קוריאה ועוקבת אחר מודל סחיטה כפולה כופר. פעילות הקבוצה ירדה שבועות לאחר מתקפת הצינור הקולוניאלי, אך אנליסטים מאמינים שהיא מיתגה את עצמה מחדש כקבוצת גריף.
קורבנות גדולים
DopplePaymer מתמקד לעתים קרובות בחברות נפט, יצרניות רכב ותעשיות קריטיות כמו בריאות, חינוך ושירותי חירום. זוהי תוכנת הכופר הראשונה שגרמה למוות של חולה בגרמניה לאחר שאנשי שירות החירום לא הצליחו לתקשר עם בית החולים.
הקבוצה עלתה לכותרות כשפרסמה מידע על הבוחרים ממחוז הול, ג'ורג'יה. בשנה שעברה, היא גם פגעה במערכות הפונות ללקוחות של קיה מוטורס אמריקה וגנבה נתונים רגישים. הקבוצה דרשה 404 ביטקוין כופר, שווה ערך ל-20 מיליון דולר אז.
5. LockBit
LockBit הייתה לאחרונה אחת מכנופיות תוכנות הכופר הבולטות, הודות לדעיכה של קבוצות אחרות. מאז הופעתה הראשונה ב-2019, LockBit ראתה צמיחה חסרת תקדים ופיתחה את הטקטיקה שלה באופן משמעותי.
LockBit התחילה בתחילה ככנופיה בעלת פרופיל נמוך, אך צברה פופולריות עם השקת LockBit 2.0 בסוף 2021. הקבוצה פועלת לפי מודל RaaS ומשתמשת בטקטיקת הסחיטה הכפולה כדי לסחוט קורבנות.
קורבנות גדולים
LockBit היא כיום קבוצת תוכנות כופר משפיעות, המהווה למעלה מ-40 אחוז מכל התקפות כופר במאי 2022. הוא תוקף ארגונים בארה"ב, סין, הודו ואירופה.
מוקדם יותר השנה, LockBit כיוונה את Thales Group, חברה רב-לאומית צרפתית בתחום האלקטרוניקה, ואיימה להדליף נתונים רגישים אם החברה לא תעמוד בדרישות הכופר של הקבוצה.
זה גם סכן את משרד המשפטים הצרפתי והצפין את הקבצים שלהם. הקבוצה טוענת כעת כי הפרה את סוכנות המס האיטלקית (L'Agenzia delle Entrate) וגנבו 100 GB של נתונים.
הגנה מפני התקפות כופר
תוכנת כופר ממשיכה להיות תעשיית שוק שחור משגשגת, ומניבה הכנסות של מיליארדי דולרים לכנופיות הידועות לשמצה הללו מדי שנה. בהתחשב ביתרונות הכספיים והזמינות הגוברת של מודל RaaS, האיומים רק יגדלו.
כמו בכל תוכנות זדוניות, ערנות ושימוש בתוכנות אבטחה מתאימות הם צעדים בכיוון הנכון להילחם בתוכנות כופר. אם אתה עדיין לא מוכן להשקיע בכלי אבטחה מובחר, אתה יכול להשתמש בכלי הגנת תוכנת הכופר המובנים של Windows כדי לשמור על בטיחות המחשב שלך.